Open Source im professionellen Einsatz
Linux-Magazin 11/2012
© Scott Griessel, 123RF.com

© Scott Griessel, 123RF.com

Endanwendertaugliche Linux-Firewall-GUIs

Bürgerwehr

Wer seinen Anwendern zutraut die lokale Linux-Firewall sicherheitsbewusst und verantwortungsvoll zu administrieren, der braucht ein GUI, das der Hilfssheriff bedienen kann. Infrage kommen Open-Source-Tools mit sehr unterschiedlichen Ansätzen: IPfire, Clear OS und Webmin im Vergleich.

1008

Pragmatismus oder Sicherheit? Wohl jeder Dienstleister, der kleine und mittelständische Unternehmen betreut, kennt die Diskussionen mit dem Kunden. Nicht selten werkelt bei dem eine Linux-Firewall, und ein Mitarbeiter, der eher Windows-Power-User ist, will oder soll grundlegende administrative Arbeiten darauf übernehmen, um die Supportkosten niedrig zu halten. Dass dabei dem Sicherheitsprofi die Haare zu Berge stehen, sei mal dahingestellt.

Damit die Selbstversorgung rund um den sicheren Internetzugang, den Remote-Zugriff aufs Unternehmensnetz oder VPN-Verbindungen gelingt, bedarf es eines GUI, das die Firewall- oder Proxy-Regeln abstrahiert und sie so auch für Anwender ohne Linux-, Shell- oder IPtables-Kenntnisse nutzbar macht. Dieser Artikel stellt die Ansätze von drei Tools vor, die das auf unterschiedliche Weise versuchen: den Firewall-Spezialisten IPfire, das Small-Business-Server-Paket Clear OS und den Allrounder Webmin.

IPfire

Nachdem der ehemalige Platzhirsch unter den Linux-Firewalls, IPcop [1] in den vergangenen Jahren eher durch seltene Updates auf sich aufmerksam machte, trat bei vielen Anwendern die All-in-one-Firewall IPfire [2] an seine Stelle. Das letzte IPcop-Update stammt vom Februar 2012, eine lange Zeit für Firewall-Distributionen. IPfire weiß dagegen mit regelmäßigen, fast monatlichen Aktualisierungen und interessanten Features zu überzeugen.

Mit dem Funktionsumfang teurer proprietärer UTM-Lösungen (Unified Threat Management) kann das Open-Source-Projekt zwar nicht mithalten, aber es gibt dem Anwender simple Eingabefelder, mit denen er "schnell mal eine Webseite sperrt" (Abbildung 1) oder einem Projektpartner den Zugriff auf den lokalen FTP-Server freischaltet – und nach Abschluss wieder deaktiviert, vielleicht sogar über IPsec oder Open VPN.

Abbildung 1: URL-Filter für den eingebauten Proxy setzen – kein Problem mit IPfire.

IPfire ist schnell installiert, wer das Farbenspiel noch von IPcop kennt, versteht auch die Chromatik [3] des brennenden Pinguins ohne Probleme:

  • Grün ist die sichere Zone, also das Client-LAN.
  • Rot symbolisiert "Gefahr!", also das WAN-Interface.
  • Blau ist für drahtlose Netze reserviert (blau wie der Himmel).
  • Orange (oder Gelb) steht für die demilitarisierte Zone (DMZ), in der IT-Strategen häufig Server platzieren, die von außen (rot) und aus dem LAN (grün) erreichbar sein sollen.

Wer sich jetzt im Betrieb laufende Verbindungen über seine Firewall anschaut, erhält von IPfire schon über die Farbe signalisiert, welche Zonen daran beteiligt sind – eine gute und sich schnell erschließende Designidee.

Abbildung 1 zeigt bereits, wie simpel das Erstellen einer eigenen White- oder Blacklist für den IPfire-Admin ist: Einfach die unerwünschte URL ins Eingabefeld einfügen, bestätigen – fertig. Der URL-Filter bringt zahlreiche weitere angenehme Funktionen mit, auch zeitabhängige Internetbeschränkungen, wie sie in Schulen oder Unternehmen Anwendung finden, sind möglich. Zwei Dialoge unter dem Reiter »Firewall« zeigen anschaulich, wie einfach auch das Management von Firewall-Regeln gelingen kann, wenn ein sinnvoll abstrahierendes GUI zum Einsatz kommt.

In Abbildung 2 kann der Anwender-Admin eine »neue regel hinzufügen« für eine »Port-Weiterleitung« auf einen internen Server, Abbildung 3 ermöglicht es, einen Port auf der Firewall selbst für Quelladressen freizuschalten. In beiden Dialogen überzeugt auch das Feld »Anmerkung« , das es dem User gestattet, einen aussagekräftigen Kommentar zu den für ihn vielleicht schwerer verständlichen Port-IP-Kombinationen einzutragen. Der erscheint dann in der Liste unten im Bild, die Optionsfelder »Aktiviert« und »Deaktiviert« schalten die neue Firewallregel schnell an oder aus.

Abbildung 2: Neue Firewall-Regeln zu erstellen erfordert ein wenig technisches Know-how. IPfire begegnet dem Problem mit anschaulichen Dialogen für die Port-Weiterleitung …

Abbildung 3: … und dem Externen Zugang auf die Firewall. Beide Eingabemasken erzeugen angepasste IPtables-Regeln, die der Anwender auch im GUI bearbeiten kann.

Clear OS

Etwas größer gefasst als die Firewallfunktionen von IPfire ist das Konzept von Clear OS. Die in weiten Teilen freie Distribution will kleinen und mittelständischen Unternehmen eine kostengünstige (vielleicht sogar kostenlose) Alternative zu Microsofts Small Business Server [4] bieten und enthält dazu einen Appstore, in dem auch andere Hersteller eigene Plugins verkaufen können. Clear OS ist getragen von der Clear Foundation [5], die "jedem Zuhause, jeder kleinen Firma sichere IT ermöglichen" will.

Dafür gibt es als Open-Source-Variante Clear OS Community oder Clear OS Professional für jene, die Active-Directory-Integration, Google-Apps-Synchronisation oder Kasperskys Malwareschutz und ähnliche Enterprise-Features brauchen. Die Preise sind gemäßigt, die Lite-Lizenz gibt es inklusive Support schon ab unter 100 Dollar, wer aber innerhalb von vier Stunden Telefonsupport will, muss knapp 900 Dollar für die Premium-Variante hinlegen, erhält dafür aber auch gleich eine stattliche Anzahl kostenpflichtiger Apps mitgeliefert.

Clear OS kann mehrere Rollen übernehmen, die der Admin bei der Installation auswählt. Als Firewall (Abbildung 4) kommt der Gateway-Modus zum Einsatz, der mit mehreren Netzwerkinterfaces arbeitet. Dann gleich noch einige der vielen freien Apps installiert – und fertig ist die simple Firewall, auf Wunsch auch mit Proxy- und VPN-Funktionen. In Abbildung 5 hat der Anwender eine typische Auswahl für den Einsatz als Internet-Access-Router ausgewählt.

Abbildung 4: Auch der Small Business Server Clear OS lässt sich als Firewall einsetzen, wenn ihn der Admin im Gateway Mode installiert.

Abbildung 5: Zu den beiden Firewall-Apps gesellen sich in diesem Clear-OS-Beispiel Contentfilter, Webproxy, Web Access Control sowie diverse Mail-Filter und -Module. Im Clear-OS-Appstore stehen auch kostenpflichtige Tools bereit.

Wer die Installation abgeschlossen hat, findet unter dem Menü-Eintrag »Network« diverse Eingabemasken, die sich mit dem sicheren Internetzugang beschäftigen. Von »1-to-1-NAT« über »Custom Firewall« , DMZ, die Kontrolle aus- und eingehender Verbindungen reicht das Angebot und schließt auch das Port Forwarding ein, alles in angenehmen, leicht verständlichen Dialogen.

Regeln für den Proxyserver finden sich unter dem Menü-Eintrag »Gateway | Web Access Control« . Hier kann der Anwender einfache, Zeit- oder Host-basierte Vorgaben machen, unter »Content Filter« darf er White- und Blacklisten für den Internetzugang konfigurieren (Abbildung 6). Dabei sollte er aber die Userverwaltung (für die Clear OS ein eigenes LDAP mitbringt) konfigurieren, denn so kann er den Webzugriff gleich für ganze Gruppen oder einzelne Anwender regeln.

Abbildung 6: Für Windows-Updates und Linux-Magazin Online macht der Contentfilter von Clear OS ab sofort eine Ausnahme. Für alle anderen Webseiten greifen die definierten Zugriffsbeschränkungen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Mail-Tools

    Mailserver-Einstellungen ändern, Spam- und Viren-Mails in der Quarantänezone verwalten, die Administration einer Domäne delegieren oder Anwender selbst Logfiles durchsuchen lassen: Mit Usermin, Modoboa und Mailtrace erhalten User den Schlüssel für Mailserver, Domänen oder einzelne Postfächer.

  • Usermin

    Die Administration eines Linux-Servers wickeln die meisten Admins an der Konsole ab. Wer aber seinen Anwendern selbst ein paar Befugnisse an die Hand geben will, braucht ein GUI. Das Gespann Webmin-Usermin bietet sich an, weil es mit einem schlanken Web-GUI auch umfangreiche Aufgaben bewältigt.

  • Bitparade

    Eine umfassende Firewall mit Netfilter und IPtables einzurichten ist kompliziert. Grafische Oberflächen wollen diese anspruchsvolle Aufgabe erleichtern, das Linux-Magazin besichtigt die Sperranlagen.

  • IPfire-Update stopft Sicherheitslöcher

    Die Linux-Firewall IPfire ist in Version 2.11 Core Update 57 verfügbar, die mehrere Sicherheitsmängel behebt.

  • IP-Fire

    Die schlanke Linux-Distribution IP-Fire ist für den Betrieb als Firewall zugeschnitten, der Admin richtet sie komfortabel über eine Weboberfläche ein. Die neue Version kann unter anderem den Netzwerkverkehr auf Basis geografischer Daten filtern.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.